Di solito non sai cosa c'è nel cookie, dato che le sue informazioni devono essere utilizzate solo dal server. Alcuni server crittografano il cookie per proteggerne il contenuto e impedire all'utente di modificarlo.
Ora, per il HttpOnly
flag.
Era qualcosa "inventato" da Microsoft su IE6 . È un per il browser con intestazione aggiuntiva per non consentire agli script sul lato client di accedere al cookie. Se il flag non è impostato, document.cookies
restituirà il suo contenuto e un exploit XSS può compromettere i cookie dell'utente. Con il flag impostato, il browser non consentirà agli script sul lato client di leggere il suo contenuto e invierà solo il suo contenuto al server web.
Se i dati dei cookie sono utili per il client (come la lingua, o le preferenze di ordinamento o qualsiasi preferenza lato client), non impostare HttpOnly
flag. Se i dati vengono utilizzati solo sul lato server (come PHPSESSID
, ASPSESSION
o qualsiasi cosa che il lato client non utilizza), imposta HttpOnly
e rende più difficile un exploit XSS per rubare i cookie.